а зачем в обоих кейсах писать одно и тоже, если в логи надо по-любому писать в кетче, почему ошибка произошла, чтобы сисадмин понял сразу что не так и кто лезет с запросами в апи, а клиенту апи( пользователю ) выслать просто маленький текстик "неправильный токен". Разве так не лучше ??
Я писал о том, что со стороны апи не нужно расписывать два кейса для неправильного и чужого токена, т.к. это потенциальная дыра.
С точки зрения логов, можешь писать все что угодно, если нет запретов со стороны pci dss или еще какой-нибудь фигни. Ну и если есть уверенность, что логи не скомпрометируются.
